Nouveautés d' HCL AppScan 360°
Découvrez les nouvelles fonctions qui ont été ajoutées à HCL AppScan 360° et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Nouveautés de HCL AppScan 360° version 1.4.0
Octobre 2024
- HCL AppScan 360° Installation d'une machine virtuelle unique
Vous pouvez choisir d'installer AppScan 360° dans un environnement Kubernetes distribué (installation standard) ou sur une machine virtuelle unique. L'installation sur une seule machine virtuelle offre un déploiement autonome de AppScan 360°, y compris la configuration de Kubernetes, pour les environnements plus petits lorsqu'un accès simultané élevé n'est pas nécessaire, ou dans le cadre de la planification des installations distribuées suivantes.
- Tableau de bord repensé : obtenez des informations plus détaillées sur vos applications et les problèmes identifiés grâce au nouveau tableau de bord. Visualisez des analyses en temps réel grâce à des diagrammes et des graphiques simples d'utilisation pour surveiller les métriques clés.
- Gestion de domaines pour le balayage DAST : gérez les domaines autorisés pour le balayage au sein de votre organisation et de vos groupes d'actifs.
- Correction automatique : une sélection de recommandations de correction automatique est désormais fournie avec une explication résumée par l'IA générative dans l'interface utilisateur de HCL AppScan 360°.
- Intégration GitHub Enterprise pour le balayage de référentiel SAST : exécutez des examens d'analyses statiques sur les référentiels GitHub Enterprise.
- Mises à jour de Plateforme centrale AppScan :
- Politiques et rapports nouveaux ou mis à jour sur la conformité et les normes de l'industrie :
- Directive relative à la sécurité des réseaux et des informations (NIS2)
- Rapport OWASP Top 10 Cloud-Native Application Security
- Rapport OWASP Top 10 API Security 2023
- Rapport CWE Top 25 Most Dangerous Software Weaknesses 2023
- [US] DISA's Application Security and Development STIG, Version 5 Release 3
- PCI DSS (Payment Card Industry Data Security Standard), Version 4
- Journaux en temps réel pour les examens DAST : consultez les mises à jour des journaux en temps réel pendant les examens actifs.
- Mode support étendu : activez le mode de support étendu (ESM) pour les examens DAST afin de générer des journaux détaillés à des fins de support.
- Propagation automatique des commentaires : propage automatiquement les derniers commentaires relatifs à un problème et le statut de celui-ci depuis une autre application vers l'application actuelle. Cela garantit que le statut et les commentaires sont mis à jour de manière cohérente, fournissant ainsi un enregistrement complet et synchronisé sur le problème dans toutes les applications.
- Lien vers le référentiel dans l'onglet Détails du problème : le champ « Emplacement » de l'onglet Détails du problème inclut un lien vers le fichier et la ligne spécifiés dans le référentiel de code source, le cas échéant. Cela permet d'accéder directement au code pertinent sans changer d'onglet.
- Politiques et rapports nouveaux ou mis à jour sur la conformité et les normes de l'industrie :
- Mise à jour du balayage de Analyse statique AppScan 360° :
- Mise à jour du client d'analyse statique vers la version 8.0.1577.
- AppScan Go! mis à jour vers la version 2.1.0
- Ajout de la possibilité d'examiner les référentiels SCM dans AppScan Go! avec une URL.
- AppScan Go! recommande désormais automatiquement le mode d'examen, soit bytecode/compiled, soit code source.
- Les analyses SAST peuvent désormais être configurées et programmées pour extraire le code source directement à partir d'un référentiel GitHub public. Voir Examiner un référentiel GitHub.
- Tout en triant les résultats SAST, les utilisateurs peuvent afficher le code source correspondant directement sur GitHub.com.
- Les résultats peuvent désormais être filtrés par nom de fichier ou par chemin, ce qui rend le tri plus efficace en se concentrant sur des zones spécifiques de la base de code.
- La commande CLI
queue_analysis
affiche les ID d'examen pour l'analyse statique (SAST). - IFA 2.0 activé pour les résultats de trace .NET.
- Améliorations apportées à l'examen de secrets et à l'examen de code source Java.
- L'examen de secrets analyse les fichiers PowerShell (
.ps1
). - Mises à jour des règles.
- Prise en charge de Makefile/GNUMakefile, d'eSQL et de Java 21.
En outre, Java 21 est inclus dans le package Static Analyzer Command Line Utility (
SAClientUtil
).
- Nouveaux HCL AppScan 360° plug-ins :
- Plug-in IDE JetBrains
- Intégrations Jira, Azure DevOps et RTC DTS
- Intégration de la gestion des vulnérabilités ServiceNow
- Intégration personnalisée SDK AppScan
Pour plus de détails, voir Intégrations.
Nouveautés de HCL AppScan 360° version 1.3.0
Juin 2024
- HCL AppScan 360° augmente considérablement la couverture de sécurité grâce à l'ajout du balayage d'analyse dynamique (DAST). Voir Dynamic Analysis (DAST).
Notre technologie DAST leader sur le marché permet aux entreprises d'examiner les applications et les API en cours d'exécution pour détecter les vulnérabilités avant leur déploiement sur le Web. Le balayage incrémentiel et l'optimisation des tests permettent aux entreprises d'équilibrer la vitesse et la profondeur des analyses en fonction des besoins du cycle de développement.
- Mises à jour de Plateforme centrale AppScan :
- Un filtre de date a été ajouté à la page Groupes de correctifs. Affichez les groupes de correctifs en fonction d'une plage de dates et/ou de propriétés temporelles associées aux problèmes des composants.
- Une option de partage a été ajoutée au volet des détails du problème. Copiez un lien ou un identifiant de problème pour partager rapidement et efficacement les détails du problème par SMS ou par e-mail.
- Améliorations de l'expérience utilisateur :
- La page Paramètres a été réorganisée et requiert désormais la confirmation des modifications apportées aux paramètres de la page.
- Les plug-ins AppScan suivants prennent en charge la version 1.3 de AppScan 360° :
- Azure : DAST, SAST
- Jenkins : DAST, SAST
- Visual Studio 2022 : SAST
Nouveautés de HCL AppScan 360° version 1.2.0
Avril 2024
- AppScan 360° a une nouvelle procédure d'installation simplifiée. L'installation de Plateforme centrale AppScan comprend l'installation de l'agent d'analyse statique en une seule procédure. Conseils de résolution AppScan sont installés séparément afin que vous ayez toujours le contenu le plus à jour en lien avec les causes, les risques et les mesures de résolution.
- Vue des problèmes par défaut : par défaut, AppScan 360° affiche les problèmes non conformes uniquement au niveau de l'application.
- Filtrage des groupes de correctifs : AppScan 360° prend en charge le filtrage des groupes de correctifs par vulnérabilité et stratégie, en plus des filtres existants. Grâce à des fonctionnalités de filtrage supplémentaires, vous pouvez identifier les problèmes et optimiser les correctifs pour une résolution plus rapide.
- Onglet Propriétés du problème : l'onglet Propriétés du volet Détails du problème répertorie les détails étendus du problème, y compris comment et quand le problème a été détecté, le type, le statut, la gravité, l'examen et l'emplacement, ainsi que l'identifiant du problème.
- Fermeture automatique des problèmes : AppScan 360° ferme automatiquement les problèmes lorsqu'ils n'apparaissent pas dans les nouvelles numérisations, ce qui réduit le travail manuel de résolution des problèmes.
- Limite d'examens de 2 000 : lorsque le nettoyage automatique n'est pas activé au niveau de l'organisation, AppScan 360° applique la limite d'examen de 2 000.
-
Améliorations de l'expérience utilisateur :
- Groupes de fichiers métadonnées : le nouveau flux de suppression de groupe d'actifs simplifie le processus de suppression d'un groupe d'actifs. Les utilisateurs disposant de l'autorisation de supprimer un groupe d'actifs (rôles par défaut tels qu'Administrateur et Gestionnaire, ainsi que rôles personnalisés) peuvent supprimer un groupe d'actifs ainsi que ses applications associées, y compris les examens et les résultats, ce qui facilite la suppression des applications inutiles. Les utilisateurs peuvent également choisir de déplacer les applications vers un autre groupe d'actifs, avec ou sans leurs membres.
- Groupes de PTF : champ Commentaires ajouté au rapport de sécurité pour les groupes de correctifs, permettant une meilleure inclusion et un meilleur suivi des notes et des commentaires.
- Mise à jour du balayage de Analyse statique AppScan 360° :
- Les principales améliorations apportées à l'analyse de résultats intelligente (IFA) pour Java, notre technologie de triage automatique IA/ML, incluent des résultats plus précis et une réduction des faux positifs. Les utilisateurs peuvent remarquer des résultats supplémentaires dans le code précédemment examiné en raison de l'amélioration de l'analyse et de la hiérarchisation.
- Découverte automatique des référentiels Git. Les chemins de fichier des nouveaux problèmes sont relatifs à la racine du référentiel.
- Couverture accrue pour le langage RPG.
- AppScan Go! mis à jour vers la version 2.0.0
AppScan Go! vous guide tout au long de la configuration et de l'exécution d'une analyse statique ou des secrets avec une interface utilisateur actualisée et un flux de travail affiné. Vous pouvez exécuter un examen complet, préparer un fichier IRX pour un balayage ultérieur ou configurer des fichiers pour l'automatisation des examens avec les plug-ins AppScan. Vous pouvez également afficher les informations de compte dans l'outil.
- Prise en charge de l'analyse statique pour .NET 8.
- Précision améliorée pour les langages Java, JavaScript et Python.
Nouveautés de HCL AppScan 360° version 1.1.0
Décembre 2023
- La Vue d'examen unique inclut désormais l'option d'affichage des problèmes actifs, en plus du nombre total de problèmes et des nouveaux problèmes. Les problèmes actifs sont ceux qui ont le statut « Nouveau », « Ouvert », « En cours » ou « Réouvert ». En outre, des améliorations ont été apportées au graphique « Problèmes par gravité ».
- Script de déploiement amélioré :
- Déploiement dans n’importe quel environnement Kubernetes.
- Accepte la partie nom d'hôte du serveur Plateforme centrale AppScan (FQDN) de l'option
--server
. - Le nom de la classe de stockage (
--storage-class
) doit être fourni pendant le déploiement. - Le nom d'hôte d'entrée par défaut de Analyse statique AppScan 360° pour l'option
--ingress-host
est passé desast.appscan.com
àsast.example.com
.
- Introduction de sondes pour surveiller l'intégrité des composants Analyse statique AppScan 360°.
- API de gestion améliorée pour produire des détails supplémentaires sur chaque microservice, des informations sur la version et sa disponibilité avec des sondes de disponibilité.
- Mise à jour de la configuration prête à l'emploi sur la base de l'utilisation typique des ressources.
- Images de base mises à jour.
- Divers correctifs pour améliorer l'intégration de l'API à Plateforme centrale AppScan, la facilité de maintenance et les performances.
- Mise à jour du client d'analyse statique vers la version 8.0.1546.
- Prise en charge du balayage des feuilles de style en cascade (fichiers CSS) : AppScan 360° identifie les vulnérabilités de sécurité dans les feuilles de style en cascade, y compris les vulnérabilités liées aux scripts intersites, aux injections et à la validation.
- Prise en charge d'IBM WebSphere Application Server 9.x : L'Utilitaire de ligne de commande Static Analyzer peut être configuré pour exploiter un environnement WebSphere afin d'utiliser le compilateur JSP inclus avec WebSphere.
- Précision améliorée pour le balayage PHP : AppScan 360° a amélioré la vérification du contenu PHP dans les fichiers HTML.
- Prise en charge de l'examen des secrets : La recherche de secrets via un examen est désactivée par défaut. Utilisez les options
--enableSecrets
et--secretsOnly
pour examiner les secrets. - Amélioration des performances des scanners de code source.
- La ligne de commande et les plug-ins permettent désormais le chargement de fichiers d'archive pour examen sans générer au préalable un fichier IRX.
- Correctifs d'ordre général.
- PRB0123164 - L'onglet Groupes de correction affiche le nom du fichier au lieu du nom de la bibliothèque pour le composant Open Source.
- PRB0123969 - L'examen SAST affiche un numéro de ligne vide lorsque la colonne « Ligne » est ajoutée au tableau de bord.
- PRB0123727 - Plusieurs problèmes CSV signalés par les clients.